跨账户访问私密账户的安全最佳实践 CAs - AWS Private Certificate Authority

AWS 私有 CA 管理员可以与其他 AWS 账户中的委托人（用户、角色等）共享 CA。收到并接受股票后，委托人可以使用 AWS 私有 CA 或 AWS Certificate Manager 资源使用证书颁发最终实体证书。委托人可以使用 CA 通过颁发从属 CA 证书 AWS 私有 CA。

与跨账户场景中颁发的证书相关的费用由颁发证书的 AWS 账户收取。

要共享对 CA 的访问权限， AWS 私有 CA 管理员可以选择以下任一方法：

使用 AWS Resource Access Manager (RAM) 将 CA 作为资源与其他账户的委托人共享，或者与之共享 AWS Organizations。RAM 是跨账户共享 AWS 资源的标准方法。有关 RAM 的更多信息，请参阅《AWS RAM 用户指南》https://docs.aws.amazon.com/ram/latest/userguide/。有关的更多信息 AWS Organizations，请参阅《AWS Organizations 用户指南》。
使用 AWS 私有 CA API 或 CLI 将基于资源的策略附加到 CA，从而向其他账户中的委托人授予访问权限。有关更多信息，请参阅基于资源的策略。

本指南的控制对私有 CA 的访问权限部分提供了在单账户和跨账户 CAs 场景中授予访问权限的工作流程。

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

内联策略

基于资源的策略